ASM(Attack Surface Management)とは? ~必要性から運用方法まで解説~
2024.8.5
近年、サイバー攻撃に関する日本国内企業の被害報告が後を絶ちません。
周知の通り、組織がサイバー攻撃の標的となることによって、重要なデータが漏えいしてしまったり、システムの稼働が停止し業務の継続が困難になったりするなどのリスクが想定されます。こうした事態を防ぐために、サイバーセキュリティの重要性が一層高まっています。
サイバー攻撃の手法は多様化・巧妙化を続けており、なかでも“ランサムウェア”による被害は高水準で推移しているといわれています。
IPA(独立行政法人 情報処理推進機構)が発表した『情報セキュリティ10大脅威 2024』においても、前年から引き続き『ランサムウェアによる被害』が1位という結果です。
出典:IPA(独立行政法人 情報処理推進機構)『情報セキュリティ10大脅威 2024』
ランサムウェアを筆頭に、サプライチェーン攻撃やゼロデイ攻撃などさまざまな脅威に対抗するためには、サイバーセキュリティ対策を多角的に実行することが大切です。
この記事では、サイバーセキュリティにおいて“入口”を強化するための手法であるASM(Attack Surface Management:アタック サーフェス マネジメント)について解説します。
『MS&ADサイバーリスクファインダー』なら、ASMの初回診断を無料でお試しいただけます
ASM(Attack Surface Management:アタック サーフェス マネジメント)とは
ASMとは、Attack Surface Management(アタック サーフェス マネジメント)の略称です。 経済産業省のガイダンスはASMを以下のように定義しています。
組織の外部(インターネット)からアクセス可能な IT 資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス
出典:経済産業省 商務情報政策局 サイバーセキュリティ課『ASM (Attack Surface Management)導入ガイダンス 外部から把握出来る情報を用いて自組織のIT資産を発見し管理する』
現代、企業のビジネス環境にはさまざまなテクノロジーが活用されています。サイバー攻撃者(ハッカー)はこのデジタルテクノロジーに潜む脆弱性を突くために、攻撃手法を日々開発し続けています。
ハッカーからの攻撃を効果的に防御するためには、アタックサーフェス(攻撃面)から検出できる脆弱性を網羅的に把握・管理することが不可欠です。
補足:アタックサーフェスとは
アタックサーフェスとは、日本語で“攻撃面”または“攻撃対象領域”を意味します。
具体的には、外部(インターネット)に公開されているサーバやネットワーク機器・IoT機器など、外部からアクセス可能なすべての要素、サイバー攻撃者にとっての“入口”となり得るポイントを指します。
ASMの具体的なプロセス
では、具体的にASMとはどのようなプロセスで実施されるのでしょうか。 経済産業省のガイダンスを基に、ASMのプロセスを4つに分けて解説します。
- 攻撃面の発見
- 攻撃面の情報収集
- 攻撃面のリスク評価
- リスクへの対応
(1) 攻撃面の発見
まずは、自組織が保有するIPアドレス・ホスト名をリストアップします。 これにより、外部(インターネット上)からアクセスできる組織のIT資産を特定します。
(2) 攻撃面の情報収集
次に、特定したIT資産に関する詳細な情報を収集します。 これには、使用されているOSやソフトウェアのバージョン情報、オープンなポート番号などが含まれます。
(3) 攻撃面のリスク評価
続いて、収集された情報を基にリスク評価を行います。 リスク評価は一般的には、自社へのインパクト(影響度)と発生確率で評価を行い対策の優先度を見極めます。
(4) リスクへの対応
(3) を基に、発見したセキュリティリスクへの対応を行います。 そのリスクに関する想定被害や改善に要するコストを考慮し、パッチ適用を行うのか、あるいは対策を見送りするのかといった判断をしたうえで、緊急性に応じて防御策を講じる必要があります。
ASMの必要性
昨今、ネットワーク貫通型攻撃が脅威になっていることが理由として挙げられるでしょう。
ネットワーク貫通型攻撃とは、ルータやVPNなどインターネットの境界に設置された装置にある脆弱性を悪用し攻撃者が侵入、組織のセキュリティを侵害する攻撃手法であり、ランサムウェアの主要な感染経路となっています。
昨今、インターネットを活用したサービスや技術が普及することでだれもが簡単に情報活用出来るようになりました。その結果として、組織として把握出来ていないWebサービスや機器、装置が増加しております。これらを網羅的に管理することはむずかしく、脆弱性やそのリスクの放置につながっています。
攻撃者が侵入する隙となるポイントを把握するために、組織には平時から攻撃面(アタックサーフェス)に対するリスク評価を継続的に実施する必要があります。 その手法の一つとしてASMが求められていると言えるでしょう。
ASMの課題
ASMの実施においては、経済産業省のガイダンスでも以下の言及がされている通り、ASMツールやASMサービスの利用が欠かせません。
実際の攻撃面の調査と評価には、ツールの利⽤が実質不可欠である。
出典:経済産業省 商務情報政策局 サイバーセキュリティ課『ASM (Attack Surface Management)導入ガイダンス 外部から把握出来る情報を用いて自組織のIT資産を発見し管理する』
手作業で行うには次のような課題があるためです。
煩雑さ
ASMには、外部からアクセス可能なすべてのIT資産を調査する役割があります。
手作業で行う場合、まずは調査方法を検討し、それから調査、評価、管理という進行が必要になります。これらのプロセスすべてで人的リソースと大量のデータ処理を伴います。企業や組織の複雑性によっては、手作業での管理は事実上不可能な対応でしょう。
セキュリティ人材の不足
セキュリティに関する一定の技術や専門知識を持った人材を確保すること自体が難しいという点も課題の一つです。
国内では昨今、情報システム部門の人材不足に直面しており、特にセキュリティ人材の不足感は顕著だといわれています。
継続的な監視の難しさ
ASMの有効性を保つためには、継続的な監視と、万が一脅威が検出された際にはアラートを出す仕組みが必要です。これを手作業でこなすには多くの人材と工数が必要になります。情報システム部門の業務負荷を考慮すると現実的ではないと考えられます。
ASMツールの活用によるメリット
手作業で行うには課題があるASMですが、ASMに特化したツールやサービスを活用することで効率を向上できます。メリットを4つに分けて紹介します。
①攻撃面の包括的な管理ができる
ASMツールによって、外部に公開されている組織のIT資産を網羅的に管理することができます。
これには、情報システム部門が把握しているIT資産だけでなく、未把握のIT資産も含まれる可能性があります。外部からアクセス可能な攻撃面を特定し、管理することで、セキュリティリスクの軽減に貢献します。
②継続的な監視ができる
継続的にIT資産を監視することで、新たに発生した脆弱性や設定ミスなどの危険な状態を検出します。
また、アラート機能をもつASMツールやサービスの場合、管理者はすぐに必要な対策を講じることができ、被害の発生を防ぎます。
③効率的なリスク評価と優先順位付けができる
ASMツールやサービスには、検出された脆弱性の影響度や悪用される可能性を評価し、優先順位を付けてくれるものもあります。これにより、どの脆弱性から対処すべきかが明確になり、効率的にリソースを配分できます。管理者は重要な脆弱性に集中して対応することができ、効果的なセキュリティ対策を実施できます。
④コンプライアンスの強化につながる
法規制やコンプライアンス要件では、定期的なセキュリティ監査が義務付けられているものもあります。多くの企業ではチェックリストを確認することで、セキュリティやコンプライアンスの成熟度を測っていますが、あくまで主観的なものとなります。ASMを活用することで、主観的なチェックだけでなく客観的な指標を持って自社のセキュリティのレベルを把握することが出来ます。
ASMと脆弱性診断の違い
ASMは“脆弱性診断”と比較されることもあるため、これについても解説します。
どちらも、サイバーセキュリティリスクを検出・評価するという目的に大きな違いはありませんが、その対象範囲や役割は大きく異なります。
| ASM | 脆弱性診断 | |
|---|---|---|
| 対象範囲 | 既知・未知を問わず、外部からのアクセスが可能な IT資産すべて | 外部からのアクセス可否に関わらず、既知のIT資産のうち、任意の対象 |
| 役割 | 自社がサイバー攻撃者からどのように見えるかを検証する | システム開発やアップデート後に欠陥の洗い出しをする |
| 継続性 | 定期的 | 任意のタイミング |
対象範囲
ASMと脆弱性診断では、診断の対象範囲が異なります。
ASMは、既知・未知を問わず、外部からのアクセスが可能な IT資産すべてが診断対象です。これは、外部からの攻撃を受けやすいポイントを特定し、管理するために行われます。
一方、脆弱性診断は、外部からのアクセス可否に関わらず、既知のIT資産のうち、任意の対象をチェックすることが一般的です。外部だけでなく、内部のセキュリティホールを見つけ出すためにも行われます。
役割
ASMは、自社がサイバー攻撃者からどのように見えるかをベースに、外部公開されている組織のIT資産を網羅的に検証したりする役割を担います。
脆弱性診断と比較して、広い範囲を診断・検証する特徴があります。網羅的かつ継続的な監視とリスク管理を通じて、組織全体のセキュリティレベルを維持・向上させることが狙いです。
脆弱性診断は、システム開発やアップデート後に欠陥の洗い出しをしたり、ネットワークやアプリケーションなど範囲を指定して検証したりする役割を担います。
ASMと比較すると、ASMよりも狭い範囲をより深く診断・検証する特徴があります。 日々の活動を通じて発見した個別の脆弱性に対して診断を行い、攻撃者からの侵入を事前に防ぐための対策を講じることに狙いがあります
継続性
ASMは、定期的かつ継続的に監視します。これにより、新たな脆弱性や攻撃の兆候を検出し、即座に対応することができます。
脆弱性診断は、前述の通り、システムの開発時やアップデート時など、任意のタイミングで実施することが一般的です。IT環境を新規で導入する際のチェックやメンテナンスの一環として利用されます。
補足:ASMと脆弱性診断の活用について
ASMと脆弱性診断は、違いを理解したうえで、どのように活用すべきかを考えることが重要です。
ASMは、常に変化するサイバー攻撃に対抗するために、継続的なセキュリティ管理が求められる環境で特に有効です。
一方で、脆弱性診断は、特定のイベントやアップデートの前後に重点的に実施することで、システムの安全性確保に役立ちます。
組織のニーズや状況に応じて、これらの手法を組み合わせて利用することで、より強固なセキュリティ対策を実現できます。
『MS&ADサイバーリスクファインダー』なら、ASMの初回診断を無料でお試しいただけます
まとめ
サイバーセキュリティの世界は日進月歩です。それは組織のIT環境やセキュリティ対策レベルはもちろんですが、サイバー攻撃者たちが企てる攻撃手法も、常に最新のテクノロジーを使ったハイレベルなものへと進化を続けています。そのため、組織全体で包括的・長期的・継続的なサイバーセキュリティ対策が求められています。
そのような状況下において、ASMはより重要性を増していくものと考えられます。
ぜひこの機会にASMについて理解を深めるとともに、効率的にASMを実施するために、ASMツールやASMサービスの活用を検討してみてはいかがでしょうか。
ハッカー視点でセキュリティに穴がないかをチェックするASMサービス『MS&ADサイバーリスクファインダー』では、初回無料診断を実施しています。
必要なものは企業のメールアドレス1つだけ。ASMツールがどのようなものなのかを確かめつつ、サイバーセキュリティ対策がしっかりとなされているのかを客観的に分析する機会になるでしょう。
